ניתוח 'מז"פי' של שרתי ה-C&C של Flame הוביל לגילוי של שלושה סוגי malware נוספים.
עכשיו מדובר על אחד מהם, שנטען שהוא התקפה ממוקדת בהרבה, שפגעה בעשרות מחשבים בלבד (בניגוד למאות ואלפים של הרכיבים המוכרים הקודמים).
טענות מעניינות נוספות:

• הפיתוח והמבצע החלו ב-2007 ואף ב-2006, בניגוד להערכות הקודמות שדיברו על 2010
• "לפחות 4 מתכנתים" השתתפו בפיתוח

ידיעה בעניין:

October 15, 2012, 8:30AM
Precision Espionage miniFlame Malware Tied to Flame, Gauss
by Michael Mimoso

One of three previously unseen pieces of malware discovered during forensic analysis of the Flame malware command-
and-control servers has been identified as a secondary surveillance tool deployed against specially identified targets, and
only after an initial Flame or Gauss compromise, researchers said today.

MiniFlame, or SPE, was originally thought to be a Flame module, but researchers at Kaspersky Lab and CERT-Bund/BSI
determined the program can stand alone as an independent piece of malware, or run as a plug-in for both Flame and
Gauss, another state-sponsored attack kit focused on stealing online banking credentials.

“After data is collected [by Flame] and reviewed, a potentially interesting victim is defined and identified, and miniFlame is
installed in order to conduct more in-depth surveillance and cyber-espionage," said Alexander Gostev, chief security expert
at Kaspersky. Gostev added that his team’s research further cements the tie-ins between the authors of Stuxnet, Duqu,
Flame and Gauss.

MiniFlame has infected far fewer machines than its siblings (10-20 compromises vs. 700 Flame incidents and 2,500 Gauss
incidents) and doesn’t have the same geographical preferences. Six miniFlame variants have been found to date and most
of its infections have been found in Lebanon. Flame primarily attacked machines in Iran, Israel, Sudan and Syria.

“This indicates that [miniFlame] is a tool used for highly targeted attacks, and has probably been used only against very specific
targets that have the greatest significance and posing the greatest interest to the attackers,” a blog post on Securelist said this
morning.

MiniFlame is essentially a backdoor. The attackers are able to use it to retrieve any file from an infected machine, or create
screenshots while the computer is running a Web browser, Office application, Adobe Reader, instant messenger service or
FTP client, Kaspersky said. The malware then uploads what it has stolen to either a dedicated command-and-control server,
or one of the Flame C&Cs. The malware also has the capability of infecting a machine with another module that attacks USB
drives, using them to store data if a machine is running offline.

“If Flame and Gauss were massive spy operations, infecting thousands of users, miniFlame/SPE is a high precision, surgical
attack tool,” the Securelist post said.

MiniFlame is architecturally similar to Flame, and not only operates as data-stealing malware, but provides attackers direct
access to infected systems. Researchers believe development of miniFlame began in 2007 and continued into this year.
Kaspersky was able to sinkhole several Flame command-and-control domains and miniFlame domains. Between the end of
May and the end of September, researchers saw close to 14,000 connections from 90 different IP addresses to those domains,
most to servers in Lebanon, but some proxies in France, the United States and Iran.

The researchers were also able to monitor 10 commands understood by the malware, instructing everything from writing and
sending files to and from the command-and-control servers, to creating screenshots for predefined processes, to sleeping for
specified periods of time.

The original analysis of the Flame C&C which led to the miniFlame discovery, was reported in September. Researchers from
Kaspersky, Symantec, CERT-Bund/BSI and the International Telecommunication Union’s Impact Alliance combined to find three
new pieces of malware in addition to Flame and four communications protocols-- OldProtocol; OldProtocolE; SignupProtocol;
and RedProtocol (still under development)--used by the malware to connect to command and control.

The discovery of SPE leaves two more pieces of malware unidentified: SP and IP. Researchers deduce that SP could be an older
version of miniFlame/SPE while IP remains unknown. IP is the most recent malware coming from this group, the researchers
said. Analysis of the C&C servers in September also determined at least four programmers are on the team behind the attacks,
each with varying levels of expertise; additional confirmation was also made that sophisticated cryptography is being used to
encrypt data as it's sent between the victims' machines and the C&C servers.

“With Flame, Gauss and miniFlame, we have probably only scratched the surface of the massive cyber-spy operations ongoing
in the Middle East. Their true, full purpose remains obscure and the identity of the victims and attackers remain unknown,” the
miniFlame report said.

http://threatpost.com/en_us/blogs/p...me-gauss-101512

ידיעות בתקשורת הישראלית

"קספרסקי" גילתה וירוס ריגול חדש הקשור לוירוס "פליים"

חדר החדשות | 20:39 ,15.10.12

הוירוס מכונה "מיני-פְלֵיים" הדביק כמה עשרות מערכות-מחשבים בלבנון, באיראן, בצרפת,
בארצות הברית ובלטביה

חברת אבטחת המחשבים "קַסְפֵּרְסְקִי" הודיעה כי גילתה וירוס-ריגול חדש הקשור לוירוס
"פְלֵיים" שהתגלה לפני כמה חודשים. הוירוס, החדש, המכונה "מיני-פְלֵיים", הדביק כמה
עשרות מערכות-מחשבים בלבנון, באיראן, בצרפת, בארצות הברית ובלטביה. בחברת
"קַסְפֵּרְסְקִי" אומרים כי מדובר בתוכנה קטנה וגמישה. שלא כמו "פְלֵיים", שתוכנן למבצעי
ריגול גדולים, "מיני פְלֵיים" פועלת בדיוק רב, ותוקפת תקיפה כירורגית. בחברת האבטחה
סבורים כי מפתחי "מיני פְלֵיים" יצרו עשרות גירסאות של התוכנה, וכי עד כה התגלו רק
שש מהן.


http://www.iba.org.il/bet/?entity=878468&type=1

קרב הסייבר במזה"ת: הכירו את מיני-פליים
מומחים הודיעו שזיהו תולעת ריגול חדשה, שמתבססת על שתי תוכנות ריגול קודמות ואשר מלמדת
על קיומו של "מפעל לייצור נשק סייבר"
חיים איסרוביץ | 15/10/2012 15:03

הצצה נוספת למלחמות הביון הקיברנטי במזרח התיכון: אנשי מעבדת קספרסקי לאבטחת מחשבים הודיעו היום (ב') על גילוי
של תוכנה זדונית חדשה שקשורה לשתי תוכנות ריגול קודמות שנחשפו בחודשים האחרונים ואשר נועדה לאסוף מידע נקודתי
מקורבנות מסוימים, בעיקר בלבנון ובאיראן.

בשנה האחרונה התגלו כמה תוכנות זדוניות שהתפשטו במזרח התיכון, אך כוונו בעיקר נגד תוכנית הגרעין של איראן. הבולטת
בהם הייתה תולעת הסטוקסנט, שאחראית לפגיעה קשה במערך הצנטריפוגות של טהרן. בנוסף, התגלו שלוש תוכנות ריגול
מסתוריות שגם פעלו בעיקר באיראן – דוקו, פליים וגאוס. לפי החשד, התולעים פותחו על ידי ישראל וארצות הברית, אם כי אין
אישור רשמי לכך.

כעת, הודיעו חוקרי מעבדת קספרסקי מרוסיה – שאחראים לגילוי של פליים וגאוס – כי הבדיקות שלהם חשפו תולעת חדשה,
המבוססת על שתי התוכנות הזדוניות הקודמות. התולעת מיני-פליים, אשר נקראת על ידי המתכנתים שלה "SPE" או "ג'ון",
הייתה נפוצה פחות מפליים וגאוס, ואותרה בעיקר בלבנון, באיראן, בצרפת ובארצות הברית.

התולעת החדשה נועדה לגנוב מידע ולפתוח דלת אחורית למחשבים שנפגעו כדי לאפשר לתוקפים לשלוט ישירות באותן רשתות.
בקפסרסקי אף הציגו את רשימת הפקודות שנועדו להפעיל את הווירוס – כך למשל הפקודה "פיונה" מורה לשלוח קובץ מהמחשב
הפגוע למרכז השליטה והבקרה והפקודה "סאם" מנחה את התולעת "לישון תקופת זמן מסוימת".

עד כה זיהו אנשי המעבדה שש גרסאות של המיני-פליים, אם כי ההערכה היא שלא מדובר במספר סופי. אחת הגרסאות פגעה
במחשבים בלבנון וברשות הפלסטינית, בעוד גרסאות נוספות זוהו באיראן, בכוויית ובקטאר. כל הגרסאות נוצרו בין 1 באוקטובר
2010 ל-1 בספטמבר 2011, אולם הפיתוח החל כבר בשנת 2007 לכל המוקדם.

ההערכה היא כי מדובר בפעילות רב שלבית, כאשר תחילה הודבקה כמות גדולה של מחשבים של קורבנות אפשריים עם
התולעים פליים וגאוס. אחרי שנאסף כל המידע, בחרו התוקפים את המטרות הנקודתיות והפעילו נגדם את המיני-פליים בתור
"כלי ריגול ברמת דיוק גבוהה".

אנשי קספרסקי הדגישו כי זו הפעם הראשונה שבה הם מוצאים רמז לקשר ישיר בין תוכנות פליים וגאוס, וכי הדבר מעיד על כך
שכולם הגיעו מאותו "מפעל לנשק סייבר" שמאחורי עומדת לפחות מדינה אחת.


"עם פליים, גאוס ומיני-פליים, ככל הנראה רק גירדנו את פני השטח של פעולות הריגול המקוון המסיביות שמתרחשות במזרח
התיכון", הודו אנשי קספרסקי בהודעה שפרסמו היום. "המטרה האמיתית והמלאה שלהם נותרה מעורפלת והזהות של הקורבנות
והתוקפים נותרה בלתי ידועה".

החשיפה של המיני-פליים מגיעה ימים אחדים אחרי שארצות הברית האשימה את איראן כי היא אחראית לפגיעה במערכות מחשבים
של חברות נפט זרות שפועלות בסעודיה בקיץ האחרון. בטהרן דחו בתוקף את הטענות.

אתמול התייחס גם ראש הממשלה, בנימין נתניהו, למלחמות הסייבר במזרח התיכון. בישיבת הממשלה, הוא ציין כי "מדי יום נעשים
ניסיונות רבים לחדור למערכות המחשב של ישראל" והכריז כי מטה הסייבר הלאומי שוקד על פיתוח מערכת הגנה מפני טרור ממוחשב,
אותה כינה "כיפת ברזל דיגיטלית".


http://www.nrg.co.il/online/1/ART2/408/785.html

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

אירופה בסנקציות על איראן, וירוס חדש התגלה

הסנקציות החדשות של האיחוד האירופי מסמנות שינוי מדיניות מהתמקדות באישים ובחברות, לעיצומים גורפים.
במקביל, נחשף הווירוס "מיני-פליים" שתקף "מטרות בעלות ערך גבוה"

סוכנויות הידיעות
פורסם: 15.10.12, 18:05

האיחוד האירופי הטיל היום (יום ב') סנקציות נוספות על איראן, בתקווה ללחוץ אותה למו"מ רציני על תוכנית הגרעין שלה.
דיפלומט באיחוד אמר כי הסנקציות החדשות כוללות איסור כללי על העברות פיננסיות, למעט כמה גורמים המעורבים
בסיוע הומניטרי, רכישות מזון ותרופות ומספר יוצאים מן הכלל נוספים. זהו אחד הצעדים החזקים נגד איראן מצד האיחוד,
שעד כה התמקד באישים מסוימים ובחברות, ופיגר אחר ארה"ב בהטלת סנקציות גורפות על מגזרים תעשייתיים, מחשש
לפגיעה בעם.

...

במקביל, חשפה היום חברת אבטחת המחשבים קספרסקי, שגילתה בעבר את הווירוסים "להבה" ו"גאוס", וירוס חדש
שפגע במחשבים במזרח התיכון. לדברי החברה, הווירוס החדש, "מיני-פליים", יכול לתקוף באופן ממוקד יותר. הוא תקף
רק 50 מחשבים "בעלי ערך גבוה" בעיקר בלבנון ובאיראן, אך גם בשטחי הרשות הפלסטינית, בכוויית ובקטאר.

הווירוס "להבה" כרה מידע מ-5,000 מחשבים, בעיקר באיראן ובסודן. איראן האשימה את "להבה" בגרימת אובדן מידע
במחשבים במסוף הנפט המרכזי שלה ובמשרד לענייני נפט. "'להבה' משמש כחרב ארוכה למכות נרחבות, בעוד 'מיני-
פליים' הוא איזמל לניתוחים ממוקדים", הסביר רואל שאובנברג, חוקר בכיר במעבדת קספרסקי במוסקבה.

במעבדה סבורים שהווירוס החדש הופץ על ידי "להבה" ועל ידי תוכנת ריגול נוספת שהתגלתה לאחרונה, "גאוס", שהתגלתה
בעיקר בלבנון וכנראה שימשה לריגול אחר העברות פיננסיות.


http://www.ynet.co.il/articles/0,7340,L-4292598,00.html

פרסומים טכניים

miniFlame aka SPE: "Elvis and his friends"

GReAT
Kaspersky Lab Expert
Posted October 15, 11:57 GMT

In May 2012, a Kaspersky Lab investigation detected a new nation-state cyber-espionage malware, which we named "Flame".
Our research also identified some distinguishing features of Flame’s modules. Based on those features, we discovered that
in 2009, the first variant of the Stuxnet worm included a module that was created based on the Flame platform. This confirmed
there was some form of collaboration between the groups that developed the Flame and Tilded (Stuxnet/Duqu) platforms.

A more in-depth research conducted in June 2012 resulted in the discovery of another nation state-sponsored and previously
unknown malware which we named «Gauss». Gauss used a modular structure resembling that of Flame, a similar code base
and system for communicating with command-and-control (C&C) servers, as well as numerous other similarities to Flame.

In partnership with Symantec, ITU-IMPACT and CERT-Bund/BSI, we also published our analysis of the Flame Command
and Control servers. The analysis showed that the code can understand several communication protocols to talk to different
«clients» or malware:

• OldProtocol
• OldProtocolE
• SignupProtocol
• RedProtocol (mentioned but not implemented)

A close look at these protocol handlers revealed four different types of clients ("malware") codenamed SP, SPE, FL and IP:

Based on the code logic, we can confirm that the Flame malware was identified as client type "FL". Obviously, this meant there
were at least three other undiscovered cyber-espionage or cyber-sabotage tools created by the same authors: SP, SPE and IP.

Meet SPE, the miniFlame

The SPE malware was uncovered in the course of the ongoing investigation, initiated by International Telecommunication Union
and conducted by Kaspersky Lab.

After we analysed the Flame C2, we were surprised to discover this new module appeared to use OldProtocolE for connections,
which are used by the mysterious SPE malware. We therefore understood the Flame plugin was in fact a unique, standalone
malware: and it was the one known as "SPE" by the Flame C2.

It all started in early July 2012, when we discovered a smaller, interesting Flame module. The module had many similarities with
Flame which led us to believe it was an earlier version of it (all known Flame variants are version 2.x). In the months that followed,
we not only studied the connection of this malware with Flame, but also came across examples of this module being used
concurrently with Gauss and being controlled by the Gauss main module.

miniFlame / SPE details

The SPE malware, which we call "miniFlame", is a small, fully functional espionage module designed for data theft and direct
access to infected systems. If Flame and Gauss were massive spy operations, infecting thousands of users, miniFlame/SPE
is a high precision, surgical attack tool.

miniFlame is in fact based on the Flame platform but is implemented as an independent module. It can operate either
independently, without the main modules of Flame in the system, or as a component controlled by Flame.

It is also notable that miniFlame can be used in conjunction with another espionage program, namely Gauss. As many readers
will remember, it has been assumed that Flame and Gauss were parallel projects that did not have any modules or C&C servers
in common. The discovery of miniFlame, which works with both these espionage projects, proves that we were right when we
concluded that they had come out of the same ‘cyber-weapon factory’.

Apparently, the development of miniFlame began several years ago and continued through 2012. Based on the C&C code, the
protocols serving SP and SPE were created before or at the same time as the communication protocol used by FL (Flame),
i.e., in 2007 at the least.

We believe that the developers of miniFlame created dozens of different modifications of the program. At this time, we have
"only" found six of these, dated 2010-2011.

In some cases, dedicated C&C servers were used exclusively to control the SPE operation. Concurrently with that, some SPE
variants worked with the servers which communicated with Flame.

miniFlame/SPE is different from Flame and Gauss in that the number of infections is significantly smaller. While we estimate the
total number of Flame/Gauss victims at no less than 10,000 systems, SPE has been detected in just a few dozen systems in
Western Asia. This indicates that SPE is a tool used for highly targeted attacks, and has probably been used only against very
specific targets that have the greatest significance and posing the greatest interest to the attackers.

Unlike Flame, where the vast majority of incidents were recorded in Iran and Sudan, and unlike Gauss, which was mostly present
in Lebanon, SPE does not have a clear geographical bias. However, we believe that the choice of countries depends on the SPE
variant. For example, the modification known as «4.50» is mostly found in Lebanon and Palestine. The other variants were reported
in other countries, such as Iran, Kuwait and Qatar.

The original SPE distribution vector is unknown. However, since it is known to have worked both as part of Flame and as part of
Gauss and since it shares its C&C servers with Flame, we believe that in most cases SPE was installed from C&C servers onto
systems that were already infected with Flame or Gauss.

The link with Gauss

The SPE/miniFlame malware is unique in a sense that it can work either as a stand-alone program, as a Flame plugin or as a Gauss
plugin. Essentially, it is a link connecting the Flame and Gauss projects tighter, while remaining independent of them. It uses either its
own C&C servers or common servers with Flame.

In total, we detected six different versions of SPE. All of them were created over the period from 1 October 2010 to 1 September
2011.

At the time of writing, version 4.50 is the most widespread in the wild.

Sinkhole statistics

During our investigations, we were able to sinkhole several of the Flame C&C domains as well as several miniFlame domains.
The statistics below are for miniFlame connections only.

Between 28th of May 2012 and September 30th, we counted close to 14,000 connections in total, coming from about 90 different
IPs.

Distribution of IPs of infected victims:

We have traced the IPs in the United States to VPN connections. Similarly, the IP in Lithuania belongs to an ISP which provides
satellite internet services in Lebanon. The IPs in France are the most curious ones – some do appear to be proxies or VPNs, but
others are not so obvious.

For instance, one of the IPs of victims in France belongs to Francois Rabelais University of Tours:

Other IPs in France belong to mobile internet users or free internet users.

Overall, it seems that the two main locations of victims are Lebanon and Iran.

The SPE / miniFlame backdoor:

The main purpose of miniFlame is to act as a backdoor on infected systems, allowing direct control by the attackers.

The following commands are understood by the malware:

All the commands are issued through the C&C server and are encrypted with a basic XOR of 10 bytes and an additional layer of
Twofish encryption.

Conclusions

During the analysis of the Flame C&C server side code, we identified four different malware files known to the server: SP, SPE,
FL and IP. The malware known as FL is Flame. Today, we are announcing the discovery of the malware known as SPE.

Based on our analysis, we have been able to put together several main points of SPE which we also dubbed the "miniFlame",
or "John", as named by the corresponding Gauss configuration:

• The miniFlame malware is not widespread. It is probably deployed only on a very small number of "high profile"
  victims.
• Unlike Gauss, SPE/miniFlame implements a full client/server backdoor, which allows the operator direct access the
  infected system.
• The Flame C&C code we’ve analysed does not appear to contain specific modules to control SPE clients; we can assume
  other dedicated SPE C2 servers exist or existed, with its own special codebase.
• The development of SPE was carried out in parallel to Flame and Gauss, during 2010-2011.
• Both Flame and Gauss make use of miniFlame/SPE as a module.
• The most recent variant of SPE is 5.00; the earliest known one is 4.00.
• The exact infection vector for SPE is unknown; it is believed that the malware gets deployed from the Command and
  Control server during Flame or Gauss infections.
• Version 4.20 of the malware contains a debug path in the binary which points to "C:\projects\e\SP4.2\general_vob\sp\
  Release\icsvnt32.pdb". This indicates the author named the malware "SP4.2", although it uses the "SPE" client type in
  C2 parlance. It is possible that SP is simply an earlier version of miniFlame/SPE (v1.00 to v3.xx).
• SPE/miniFlame consolidates the theory of a strong link between Flame and Gauss teams. The miniFlame represents a
  common module used by both.
• All known 4.xx versions of SPE contain a version info section which references code page 3081, ENG_AUS, English
  (Australia)

If Flame and Gauss were massive spy operations, infecting thousands of users, SPE/miniFlame is a high precision espionage
tool. The numbers of its victims is comparable to Duqu.

We can assume this malware was part of the Flame and Gauss operations which took place in multiple waves. First wave: infect
as many potentially interesting victims as possible. Secondly, data is collected from the victims, allowing the attackers to profile
them and find the most interesting targets. Finally, for these "select" targets, a specialized spy tool such as SPE/miniFlame is
deployed to conduct surveillance/monitoring.

Within the Flame C&C code, two other malware files are referenced: SP and IP. If SP probably refers to an older variant of the
malware described in this paper, IP is probably different and still remains unknown. According to the C2 source code, IP is also
the most recent malware from the pack.

With Flame, Gauss and miniFlame, we have probably only scratched surface of the massive cyber-spy operations ongoing in the
Middle East. Their true, full purpose remains obscure and the identity of the victims and attackers remain unknown.

You can read our Full Technical Paper on SPE / miniFlame here.

Kaspersky Lab would like to thank CERT-Bund/BSI for their kind assistance with this investigation.


https://www.securelist.com/en/blog/...and_his_friends

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.